Когда речь заходит о выборе защитных мер, то существует два основных подхода. Первый - выбирается базовый минимальный набор, который должен быть реализован в любом случае, невзирая на наличие или отсутствие угрозы (считается, что базовый набор рассчитан на наиболее распространенные угрозы). Второй - меры выбираются на основе соответствующего моделирования. Какой бы вариант моделирования вы не выбрали, вы будете оперировать двумя понятиями - вероятность ущерба и масштаб ущерба. Именно от них зависит актуальность угрозы, для нейтрализации которой и будет выбираться защитная мера.
Где нам взять данные два показателя для АСУ ТП, о которых в последнее время говорят очень много? Наблюдать и считать самим? Можно, но долго. Посчитать экспертным путем? А у экспертов есть соответствующая квалификация? Использовать другие
методы? Можно, но есть и еще один вариант - воспользоваться готовой статистикой. Правда, в области индустриальных решений ее публичной почти нет. Эрик Байрс свою самую известную базу инцидентов закрыл, но зато вместе нее появилась база
RISI. База тоже закрытая, но за деньги можно получить к ней доступ. Именно на основе этой базы составлены нижеприведенные диаграммы. Точных значений по каждому показателю я не привожу специально - моя задача была показать общие тенденции, на основе которых можно сделать соответствующие выводы.
В четверку наиболее опасных и подверженных угрозам отраслей входят энергетика, нефтегаз, транспорт и водоснабжение. А вот пятое место занимает производство питания. Про нее говорили и на прошедшем недавно форуме "Безопасность КВО ТЭК", который расширяет свои границы и уже не ограничивается только топливно-энергетическим сектором.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFbgATGp1M6wdwy8nOrMGWMVEqigZgDiy0t1-CrP3Z1pIvp5x94hiP4r9D18LuM75p-_WnjcK16ilyh4Q5lW7Ra_9TxKtuN1clFOXCrHLQrOq9Z8f3YeRW43ZHSxd_rimb1obSswjVEWu9/s280/%D0%98%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D1%8B+%D0%BF%D0%BE+%D0%BE%D1%82%D1%80%D0%B0%D1%81%D0%BB%D1%8F%D0%BC.png) |
Статистика инцидентов по отраслям |
Время простоя от инцидентов в большинстве случаев равно нулю. На втором по популярности месте - 1-4 часа. За это время, в зависимости от отрасли, в котором работает критически важный объект, может произойти очень многое - от кражи состава с рудой до экологической катастрофы с человеческими жертвами.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVqspTTZOYiIyKku13DVzfdqWvGlimMdxeKCYVrjGjJ_C528beSUW-5FQpRVytZcivQZJbpkO6cPjVkgicGnT4KqylGyDhcYkyCqHna_Ng4sERPEm-eyOIu60syYHtixwyCEzac5zwYI0_/s280/%D0%94%D0%BB%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C+%D0%BF%D1%80%D0%BE%D1%81%D1%82%D0%BE%D1%8F.png) |
Время простоя от инцидента ИБ |
Наиболее популярные последствия от инцидентов предсказуемы - снижение объема производства / операций (как в случае со Stuxnet), потеря управления устройствами, снижение продуктивности персонала.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqOeX8gsu7pbAMrrANJrA7CHnnyAqIcpF-2W8FUSRxTBj9plNnYcWlU8toxebLp_JwyD8Dp726IrthARn1-_Od2Zk9rnksB27ij0H6uPSlTBL_9wqLycCAsxs1SAHK0eOkEYT4jElYiTv_/s280/%D0%94%D0%BE%D1%81%D1%82%D0%B8%D0%B3%D0%BD%D1%83%D1%82%D1%8B%D0%B5+%D1%80%D0%B5%D0%B7%D1%83%D0%BB%D1%8C%D1%82%D0%B0%D1%82%D1%8B.png) |
Последствия от инцидента ИБ |
С финансовой точки зрения статистика RISI объем потерь в более половине случаев не превышает 100 тысяч долларов США.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcTsH7VbLbyWFXkTIXQKnY2vLtmyg6QV_urxf0RZYggmzRuBkI28rlIMagfYoE4NFRcQzOvUQ27YjjIipWj8WjZECbcEQQoPFnCFT1kKXWp3d6ur-33JuBd0PmLhzuKQgYz0UxiW_yMBrd/s280/%D0%9E%D0%B1%D1%8A%D0%B5%D0%BC+%D1%83%D1%89%D0%B5%D1%80%D0%B1%D0%B0.png) |
Масштаб финансового ущерба |
Чаще всего в инцидентах бывает замешаны контроллеры (PLC), распределенная система управления (DCS), Master SCADA, индустриальный ПК и HMI.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijPUcrA8dx-q8XjnXcvwnJIajPWtSHXSNOssMzBk-2cePFpziklQgZIBKbKcTYz5-K9uhBT3q8i9_Yw1_xpCorJRe7vbZp4Kk5Y3fVJ3XwL-qVTGWR9JqvZdQBfLZj-xnSR83KdBTuXyv4/s280/%D0%97%D0%B0%D0%BC%D0%B5%D1%88%D0%B0%D0%BD%D0%BD%D0%BE%D0%B5+%D0%BE%D0%B1%D0%BE%D1%80%D1%83%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5.png) |
Замешанное в инциденте оборудование |
Предсказуемо, но обнаруживаются инциденты обычно операционным персоналом во время самого инцидента. На втором месте - обнаружение после инцидента. Обнаружение инцидента с помощью каких-либо средств защиты происходит очень редко. Отсюда следует простой вывод - работа с персоналом гораздо важнее технических решений (последними, правда, тоже не стоит пренебрегать).
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjP4RiVoNleIhyAMORxIefe7J3_bLmRGicFNN9ZgXV6mvLbrmUXa_ZX3WgDPNsk212oXeL2STsV9_d2iXOF_kyr5IyBwRU_Q_jD1DobEOAbFb6mGCBx3G0k91lvettFXj6rOTwnDdFZKQ_m/s280/%D0%9C%D0%B5%D1%82%D0%BE%D0%B4+%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F.png) |
Метод обнаружения инцидента |
Проприетарные протоколы хоть и участвуют в инцидентах, самым распространенным все-таки является TCP/IP. Это лишний раз доказывает, что традиционные средства сетевой безопасности могут быть эффективно использованы для защиты АСУ ТП. Правда, второе, третье и четвертое место занимают индустриальные протоколы, которые должны распознаваться и фильтроваться выбираемыми средствами защиты.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEhxR9bAGU0WX_6fFkdqzIEuXtewbcMQL9l6g8F5qEUkxrGNC65N6mY2cu4SiDtZ7-f0HXdfBdsBgAOZQDIYc-e82VTCR8urCHwXpGFJaZeA4kuh7NLcJu0A4SK5-LlQX2BXnNdUGPyzZP/s280/%D0%9F%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB%D1%8B.png) |
Протоколы, в рамках которых произошел инцидент |
Следующий слайд показывает, что вредоносное ПО, попавшее внутрь извне, является основной проблемой даже в индустриальных сегментах. Вопросы надежности железа и софта находятся на втором и четвертом местах соответственно. Это говорит о необходимости внедрения SDLC, соответствующего тестирования и приемочных испытаний АСУ ТП, наличия адекватной процедуры выбора оборудования и ПО, соответствующей процедура управления обновлениями и т.п.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhmxOsor4vf8MUrR7JE0vy_8fRUR899V0JaPCNLowp_fbn1E3FO8tp0talVw0Jd3Ftu12T1bHH2OVeusG429Brgq3j_U9nhjxu_p3Pp4i0Y-95f0F-27BoopQH6GTf6aD_allcwKfD5PVJl/s280/%D0%A2%D0%B8%D0%BF+%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D0%B0.png) |
Тип инцидента |
Учитывая, что вредоносное ПО - самый распространенный тип инцидентов, а третий тип - это проникновение в систему, мы приходит к тому, что основным типом нарушителя для индустриальных сетей является внешний нарушитель / вирусописатель. А вот второе место менее приятно - нарушитель не был обнаружен или его тип не был идентифицирован.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4Wh-V6VJjuGtIsNQo5rdUQdsV_xHyQgbHia2Is1XyOF6pWaRpUUraMr1FiRUP2EPu7cV3dhxIASAGASOIjNEuPmUzV9i7Ikz8B0s9RGEx7VGtaQXGNbzjo4BXt5h2WzN9dn64BgRUy-Wc/s280/%D0%A2%D0%B8%D0%BF+%D0%BD%D0%B0%D1%80%D1%83%D1%88%D0%B8%D1%82%D0%B5%D0%BB%D1%8F.png) |
Тип нарушителя |
Наиболее интересна статистика по точке входа в индустриальный сегмент. В большинстве случаев точка входа вообще неопределена. На втором месте - точка соприкосновения с корпоративной сетью, а тройку замыкает удаленный доступ. Данная статистика опровергает миф о том, что индустриальные сегменты не подключены никуда и изолированы от Интернет, от корпоративной сети, от сетей третьих лиц и т.п.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYZwWGgUS6FdtMG3v8sSxCRw4nYzEEruS3jK26v1J68knd3eUP1v0wc0lKP6R3dMgBYTuqtnhZFBW27AoO78rbrxQ6Yc1gaHv83J-dM75YGgIt62A_yPzPANZQmBXlJqca8gA0yWCH6wAo/s1600/%D0%A2%D0%BE%D1%87%D0%BA%D0%B0+%D0%B2%D1%85%D0%BE%D0%B4%D0%B0.png) |
Точка входа в АСУ ТП |
Есть еще две диаграммы, которые интересны с точки зрения статистики. Это данные американской компании Red Tiger, занимающейся аудитом и тестами на проникновение в индустриальных сетях. За время своей работы они проанализировали немало сетей и собрали статистику об уязвимостях в различных сегментах АСУ ТП и типах встречаемых в них эксплойтах.
Добрый день, Алексей. Не могли бы Вы поделиться ссылкой на источник последней картинки (которая,увы, безымянная)?
ОтветитьУдалитьЭто результаты исследований Red Tiger
ОтветитьУдалить